?用來保護(hù)企業(yè)網(wǎng)絡(luò)的傳統(tǒng)工具在網(wǎng)絡(luò)可見性和保護(hù)它們的能力方面造成了差距。

正如之前所討論的，企業(yè)網(wǎng)絡(luò)已經(jīng)變得原子化，意味著它們是分散的、短暫的、加密的和多樣化的 (DEED)。這些 DEED 環(huán)境和我們用來保護(hù)它們的傳統(tǒng)工具在網(wǎng)絡(luò)可見性和我們保護(hù)它們的能力方面造成了差距。由于三個主要原因，盲點猖獗。

深度包檢測 (DPI) 正在失去效力。在隱私和安全問題的推動下，網(wǎng)絡(luò)流量加密變得無處不在，使我們傳統(tǒng)上使用的許多網(wǎng)絡(luò)可見性和安全工具失明，例如下一代防火墻 (NGFW)、入侵防御系統(tǒng) (IPS) 以及網(wǎng)絡(luò)檢測和響應(yīng)（NDR）系統(tǒng)。沿著解密路徑走下去的公司，尤其是在受到嚴(yán)格監(jiān)管的行業(yè)中的公司，很快就會發(fā)現(xiàn)，在進(jìn)行持續(xù)檢測所需的級別上進(jìn)行解密是有問題的，因為暴露的流量可能會被看到或捕獲。更不用說額外的開銷和性能權(quán)衡。

DPI 也很難擴(kuò)展。在 DEED 環(huán)境中，很難找到部署跨端口的入口點。即使你能弄清楚放置它們的位置，大規(guī)模這樣做也會產(chǎn)生費用和復(fù)雜性。很少有公司對部署硬件感興趣了。在需要可見性的任何地方部署它很麻煩，需要太多時間，而且成本高昂，如果不是不可能的話。然而，即使是基于軟件的方法仍然需要構(gòu)建、擴(kuò)展和管理虛擬機(jī) (VM)。它們消除了物理設(shè)備的成本和復(fù)雜性，但是在數(shù)百個位置添加跨接端口和流量鏡像的提升是一項艱巨的任務(wù)。不可避免地會存在盲點，因為網(wǎng)絡(luò)的某些部分總是超出范圍或無法被 DPI 看到。

云流日志是不同的。各個云服務(wù)提供商 (CSP) 可以為其特定的云環(huán)境提供良好的可見性機(jī)制。但根據(jù)Flexera 2022 年云狀態(tài)報告( PDF), 89% 的組織報告擁有多云戰(zhàn)略，不同的 CSP 提供不同的能力并且都存在差距。此外，幾乎沒有標(biāo)準(zhǔn)存在，因此每個 CSP 提供的數(shù)據(jù)類型、數(shù)據(jù)捕獲方式和可見性級別各不相同。了解這些差異、哪些差異很重要以及它們是否實質(zhì)性需要特定的專業(yè)知識?？梢娦砸脖环指糸_來，因此看到流量進(jìn)出云層、云層之間甚至云層內(nèi)部都是一項挑戰(zhàn)。找到一種方法將不同的云流日志匯集在一起并規(guī)范化數(shù)據(jù)，以便您可以用一組眼睛查看它，而不必在 CSP 之間進(jìn)行上下文切換，這是一項繁重的工作。

端點無處不在，并非所有端點都可以支持代理。端點檢測和響應(yīng) (EDR) 成為新的熱門工具是有原因的；它解決了很多問題。然而，客戶和潛在客戶告訴我們，他們在端點上的 EDR 覆蓋率在 60-70% 之間，不包括路由器和交換機(jī)等網(wǎng)絡(luò)設(shè)備。還有許多連接到他們公司網(wǎng)絡(luò)的其他設(shè)備也不支持代理或不受他們控制。想想銷售點 (POS) 系統(tǒng)、HVAC 系統(tǒng)、物聯(lián)網(wǎng)設(shè)備和智能電視。此外，由于自帶設(shè)備 (BYOD) 環(huán)境和隨處工作模型引入了通過家庭和 wifi 網(wǎng)絡(luò)連接的其他流氓設(shè)備，因此還有無數(shù)他們甚至不知道的設(shè)備。如果您不能考慮端點的全部組合，就會存在差距。

改進(jìn)網(wǎng)絡(luò)可見性和安全性方法

為了縮小 DEED 環(huán)境和傳統(tǒng)工具之間的差距，我們需要一種不同的方法，使我們能夠在更高層次上可視化網(wǎng)絡(luò)流量，跨越當(dāng)今使用的環(huán)境和設(shè)備的數(shù)量和類型，而無需捕獲和解密數(shù)據(jù)包。事實證明，元數(shù)據(jù)和上下文是關(guān)鍵。

流數(shù)據(jù)形式的元數(shù)據(jù)提供了一種被動和無代理的方法來跨多云、本地和混合環(huán)境（包括每個 IP 地址和每個設(shè)備）實現(xiàn)網(wǎng)絡(luò)流量可見性。而且由于元數(shù)據(jù)提供有關(guān)網(wǎng)絡(luò)流量的信息而不包括敏感或私有數(shù)據(jù)，因此您可以收集和存儲它而無需擔(dān)心合規(guī)性或監(jiān)管問題。

將所有流式元數(shù)據(jù)整合到一個平臺中，對其進(jìn)行規(guī)范化，并使用開源數(shù)據(jù)和組織特定的上下文數(shù)據(jù)實時豐富它，為不同的團(tuán)隊提供了一個去處和一種通用語言來獲取完整的信息發(fā)生了什么。他們可以專注于與他們相關(guān)的內(nèi)容，而無需專業(yè)知識來理解不同的流數(shù)據(jù)，或存儲和查詢平臺以進(jìn)行可能需要數(shù)小時才能提供答案的額外查找。

改進(jìn)安全方法以到達(dá)需要到達(dá)的地方，從使用已有的數(shù)據(jù)開始，并為團(tuán)隊提供一個地方去獲取所有數(shù)據(jù)的統(tǒng)一視圖和一種通用語言，以便他們可以專注于他們想要解決的問題解決。這是一種少即是多的方法，可以彌補實時檢測、實時調(diào)查和實時補救方面的差距，并使安全團(tuán)隊能夠不斷發(fā)展以保護(hù)其原子化網(wǎng)絡(luò)。